Aŭtoro de la retumilo Pale Moon informojn pri la kompromiso de la servilo archive.palemoon.org, kiu konservis arkivon de pasintaj retumiloj ĝis kaj inkluzive de versio 27.6.2. Dum la hako, la atakantoj infektis ĉiujn ruleblajn dosierojn kun instaliloj de Pale Moon por Vindozo gastigitaj en la servilo per malware. Laŭ antaŭaj datumoj, la anstataŭigo de malware estis farita la 27-an de decembro 2017, kaj estis detektita nur la 9-an de julio 2019, t.e. restis nerimarkite dum jaro kaj duono.
La problema servilo estas nuntempe eksterreta por esploro. Servilo de kiu nunaj eldonoj estis distribuitaj
Pala Luno ne estas tuŝita, la problemo nur influas malnovajn Vindozajn versiojn instalitajn de la arkivo (eldonoj estas movitaj al la arkivo kiam novaj versioj estas publikigitaj). Dum la hako, la servilo funkciis Vindozo kaj funkciis en virtuala maŝino luita de la funkciigisto Frantech/BuyVM. Ankoraŭ ne estas klare, kia vundebleco estis ekspluatita kaj ĉu ĝi estis specifa por Vindozo aŭ influis iujn kurantajn de triapartaj servilaj aplikoj.
Post akiri aliron, la atakantoj selekteme infektis ĉiujn ekz-dosierojn asociitajn kun Pale Moon (instaliloj kaj mem-eltiraj arkivoj) per troja programaro. , celita ŝteli kriptan moneron anstataŭigante bitcoin-adresojn sur la tondujo. Efektiveblaj dosieroj en zip-arkivoj ne estas tuŝitaj. Ŝanĝoj al la instalilo eble estis detektitaj de la uzanto kontrolante la ciferecajn subskribojn aŭ SHA256-haŝojn ligitajn al la dosieroj. Ankaŭ la malware uzata estas sukcesa plej aktualaj antivirusoj.
La 26-an de majo 2019, dum la agado ĉe la servilo de atakantoj (ne klaras ĉu ĉi tiuj estis la samaj atakantoj kiel en la unua hako aŭ aliaj), la normala funkciado de archive.palemoon.org estis interrompita - la gastiganto ne povis. por rekomenci, kaj la datumoj estis difektitaj. Tio inkludis la perdon de sistemprotokoloj, kiuj povus esti inkluzivantaj pli detalajn spurojn indikantajn la naturon de la atako. Dum ĉi tiu fiasko, administrantoj ne konsciis pri la kompromiso kaj restarigis la arkivon al funkciado uzante novan CentOS-bazitan medion kaj anstataŭigante FTP-elŝutojn per HTTP. Ĉar la okazaĵo ne estis rimarkita, dosieroj de la sekurkopio, kiuj jam estis infektitaj, estis translokigitaj al la nova servilo.
Analizante la eblajn kialojn de la kompromiso, oni supozas, ke la atakantoj akiris aliron divenante la pasvorton al la gastiganta persona konto, akirante rektan fizikan aliron al la servilo, atakante la hipervizion por akiri kontrolon super aliaj virtualaj maŝinoj, hakante la retkontrolpanelon. , kaptante fora labortabla sesio (RDP-protokolo estis uzita) aŭ ekspluatante vundeblecon en Windows Server. La malicaj agoj estis faritaj loke sur la servilo uzante skripton por fari ŝanĝojn al ekzistantaj ruleblaj dosieroj, prefere ol per re-elŝutado de ili de ekstere.
La aŭtoro de la projekto asertas, ke nur li havis administrantan aliron al la sistemo, aliro estis limigita al unu IP-adreso, kaj la subesta Windows OS estis ĝisdatigita kaj protektita kontraŭ eksteraj atakoj. En la sama tempo, RDP kaj FTP-protokoloj estis uzitaj por malproksima aliro, kaj eble nesekura softvaro estis lanĉita sur la virtuala maŝino, kiu povis kaŭzi kodrompadon. Tamen, la aŭtoro de Pale Moon emas kredi, ke la hako estis farita pro nesufiĉa protekto de la virtuala maŝina infrastrukturo de la provizanto (ekzemple, samtempe, per la elekto de nesekura provizanta pasvorto uzante la norman virtualigan administran interfacon. OpenSSL-retejo).
fonto: opennet.ru